SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

情報漏洩対策に必要な7つの楯

第1回 メール誤送信対策のポイント


 個人情報や機密情報などのデータは企業の重要な資産であるとともに、それらのデータの利活用が企業活動の成否を握る重要な鍵であると言っても過言ではありません。一方で、経営層も含めてこれらの情報をきちんと護るという強い意識が必要です。情報漏洩は企業の競争力の低下や事業継続に大きな影響を及ぼすリスクを秘めているからです。情報漏洩事件は後を絶ちませんが、弊社の顧客企業においてもそれらの事件がきっかけとなって、情報の保護や漏洩対策を経営課題と捉え、対策の実装や見直しを図る企業が急増しています。本稿では、企業としてさらに強固なセキュリティ対策を施すきっかけとなるような情報漏洩対策のポイントや考え方をご紹介します。

 情報漏洩対策を全方位で網羅するには何が必要でしょうか。これには実際に発生した情報漏洩事故を振り返ってみることが有効です。毎年JNSA(NPO 日本ネットワークセキュリティ協会)から実際に発生した情報漏洩インシデントの一覧が出されているので、これを頻度順にまとめ、それに筆者がITシステムに関係し有効性が高いと考える対策をマッピングしたものが表1になります。

 実際に発生したインシデントから見る対策(参考:NPO 日本ネットワークセキュリティ協会 2012年 情報セキュリティインシデントに関する調査報告書)

表1 実際に発生したインシデントから見る対策
(参考:NPO 日本ネットワークセキュリティ協会 2012年情報セキュリティインシデントに関する調査報告書)

 マッピングされた対策を整理すると、ITシステムに必要な施策(つまり情報漏洩対策に必要な「楯」)は以下の7つのポイントにまとめられます。

  1.  メール誤送信対策:メール送信時の宛先チェックの厳格化や添付ファイルに関する対策
  2.  データ暗号化:第三者にデータが漏洩した場合に、最終防御となるデータ暗号化
  3.  MDM対策:スマートデバイス機器をモバイル使用する場合の対策や端末設定・管理
  4.  持ち出し制御:各記録媒体やWeb/メールにより社外にデータを持ち出す場合の対策
  5.  アクセス制御/特権ID管理:職務分掌やOSよりも強固なアクセス基盤と特権IDの管理基盤の構築
  6.  ログ分析:情報漏洩の予兆や問題発生時の原因を把握するためのレポートによる対策
  7.  多重防御:入口/出口/内部の視点で、総合的に情報の漏洩を防ぐ対策

 本連載では、この7つの楯(情報漏洩対策)について、順を追ってご紹介します。

 第1の楯として今回解説するのは、メール誤送信対策です。

1.メール誤送信対策

 電子メール(以下、メール)は、IT基盤の中で主要なビジネス・ツールとして、またコミュニケーション手段として広く普及しています。コミュニケーション・ツールという性格上、情報漏洩の脅威となり得るツールでもあり、実際にビジネスに大きな影響を及ぼす事故も多数発生しています。しかし、業務の生産性やユーザの利便性を考慮すると、漏洩リスクを根本的に抑止する対策が実装しにくい状態と言えます。

 メールによる情報漏洩は、多くの場合、送信者の不注意または操作の不慣れによる「誤送信(誤操作)」に起因しており、具体的には以下の2つの漏洩パターンへの対策を講じることにより、誤送信時の情報漏洩リスクを大きく低減させることができます。

1.メール・アドレスやメール本文に含まれる情報の漏洩対策

 メールの宛先誤りによる情報漏洩は比較的容易に発生します。例えば、他社の「A」にメール送信する際、「A」とは面識のない社内の「X」「Y」「Z」に本来「BCC:」で送信するところを「CC:」で送信してしまい、意図せず「A」にメール・アドレスが通知されてしまうというケース、この他にも、社内の「A」に送信するつもりが他社の「A」に送信し、社外秘情報が漏洩してしまうケースや、社内の「B」に送信するつもりが同姓の「C」に送信してしまい、人事的な機微な情報が漏洩したり関係者以外が重要な情報を知ってしまうケースなど様々です。

 【対策のポイント】宛先の妥当性チェック、早期発見が重要

 送信は一瞬にして行われるため送信者自身がその発生に気づかないことが多いこともメール誤送信の大きな特徴です。そのため、送信先は常に社外であることを想定して、以下のように、メール送信時に宛先の妥当性のチェックや早期発見ができる仕組みが必要です。

 一時保留

 専用のゲートウェイを設置し、メール送信の操作後にメールを一定期間保留することで、宛先の妥当性チェックに猶予を残す。

 上長や自グループへの同報

 送信メールに対して上長や自グループをCC:(またはBCC:)として付加し、チェック体制を強化する。

 上長承認

 社外宛のメール送信には、上長承認(または確認)を必須とし、チェックを二重化する。

 図1:メールの宛先誤りによる情報漏洩対策ポイント ~宛先の妥当性チェックと早期発見~
 図1:メールの宛先誤りによる情報漏洩対策ポイント ~宛先の妥当性チェックと早期発見~

2.添付ファイルに含まれる重要な情報の漏洩対策

 機密情報や個人情報等の重要な情報をメールに添付して送信する際に、宛先を間違える、または送付するべき情報(ファイル)を間違えることにより、重大な漏洩リスクが発生します。

 【対策のポイント】添付ファイルの暗号化が有効

 間違った宛先に添付ファイルを送信してしまっても情報を漏洩させないためには「添付ファイルの暗号化」が有効です。実際に弊社の顧客企業においても、ファイルを添付したメールを社外に送信する場合に、暗号化を必須としている企業が増えています。また、暗号化した添付ファイルは復号化のキーを使用して開くことができます。そのため、復号化キーの通知を分け、即時にファイルの内容を参照できない状態にすることで、情報の漏洩を防ぎます。具体的には以下の手順で行います。

 手動またはシステムで暗号化

 ファイルを手動で暗号化するか、専用ゲートウェイ・サーバを設置してメールに添付されたファイルは自動で暗号化するように設定しておく。

 復号化キーは別で送信

 メールを送信する際、添付ファイルを復号化するキーを別途通知する旨、送信先に連絡する。またはシステムにより自動で復号化キーを別途通知する。(受信者は添付ファイルを受け取るが、暗号化された状態のためこのままでは参照不可)。

 復号化キーの連絡

 メール送付後に送信先に電話や別メールにて復号化キー(パスワード)を通知する。

 また暗号化の他に、上長承認の義務化や送信するファイルの重要度のチェック等の仕組みも検討されたほうが良いと考えますが、業務の効率化やユーザの利便性も考慮し、無理なく実現可能な施策を選択されると良いでしょう。

 図2:メールの添付ファイル送信時の情報漏洩対策ポイント ~ファイルの暗号化~
図2:メールの添付ファイル送信時の情報漏洩対策ポイント ~ファイルの暗号化~

 今回はメール誤送信対策について解説しました。

 次回は、データ暗号化について解説します。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
情報漏洩対策に必要な7つの楯連載記事一覧

もっと読む

この記事の著者

伊藤 雄介(イトウ ユウスケ)

株式会社アシスト システムソフトウェア事業部メインフレーム時代から23年間、企業の基幹となるシステム運用管理を中心としたパッケージ・ソフトウェア導入業務に携わる。顧客の業務要件を広くヒアリングしてきた経験から、ソフトウェアの機能中心ではなく、顧客のスコープを明確化したうえでの最適な提案を得意とする。...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6693 2015/04/08 11:25

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング